La Directiva NIS2: Llamados a luchar contra el cibercrimen

La Directiva de la UE supone un verdadero desafío estratégico.

En un mundo donde el cibercrimen evoluciona y se sofistica día a día, la ciberseguridad debe convertirse en una prioridad estratégica para las empresas. Y, en este sentido, la Unión Europea está enviando un mensaje muy claro con la aprobación de la Directiva NIS2. Ya no se trata solo de proteger infraestructuras críticas; ahora la directiva propone crear un nivel común de ciberseguridad en todos los Estados miembros de la Unión Europea, abarcando un espectro mucho más amplio de organizaciones medianas y grandes incluidas en su cumplimiento, en múltiples sectores, desde el sanitario hasta el de fabricación o alimentación.

Este nuevo alcance es una respuesta necesaria frente a un panorama de ciberamenazas cada vez más agresivo y complejo que no discrimina en función del tamaño o la naturaleza de la organización. Los múltiples casos de ciberataques a todo tipo de empresas que estamos viviendo nos están demostrando que nadie está a salvo.

Este marco regulatorio no solo amplía las obligaciones de su predecesora, sino que también refleja la necesidad urgente de enfrentar las ciberamenazas con la seriedad que merecen por parte de la alta dirección y los consejos de administración de las compañías. La directiva introduce un sistema de sanciones y de responsabilidades por parte de administrativos y directivos, situando la ciberseguridad a nivel de la estrategia corporativa y buen gobierno. A la práctica y, teniendo en cuenta las reclamaciones existentes hasta la fecha a órganos de administración derivadas de un incidente de ciberseguridad, creemos que será difícil acreditar una posible negligencia. Si bien es cierto que esta normativa introduce los mimbres necesarios para impulsar una tendencia en el sector donde la ciberseguridad se incluya en el buen gobierno corporativo con el fin de evitar cualquier responsabilidad legal. Cada vez más frecuentemente, veremos cómo los órganos de gobierno de las compañías poseen las capacidades necesarias para comprender y gestionar adecuadamente los riesgos ciber.

Más allá de los requisitos técnicos y organizativos —que sin duda serán exigentes— o de las sanciones previstas por la Directiva NIS2, el verdadero desafío reside en si las organizaciones están realmente dispuestas y capacitadas para hacer un cambio cultural profundo que coloque la ciberseguridad en el centro de su estrategia.

Pongamos esto en perspectiva con un ejemplo concreto: imaginemos una empresa del sector sanitario que detecta que uno de sus proveedores estratégicos en el proceso de fabricación tiene un riesgo crítico de ciberseguridad. Este proveedor podría convertirse en la puerta de entrada para un ataque con consecuencias catastróficas. Ante esta situación, la pregunta es: ¿la alta dirección de esa empresa estará tan convencida de la importancia del riesgo de ciberseguridad como para tomar una decisión difícil, como cancelar la relación con ese proveedor y buscar una alternativa, incluso si esto implica costes adicionales o interrupciones operativas?

En mi opinión, la respuesta es clara: todavía estamos lejos de otorgarle a la ciberseguridad esa prioridad estratégica tan necesaria, pero llegará.

Este ejemplo refleja un problema más profundo. Muchas organizaciones aún ven la ciberseguridad como una cuestión operativa o técnica, y no como un pilar diferencial esencial para la sostenibilidad del negocio. El problema no es solo la falta de herramientas o profesionales, sino una mentalidad que subestima los riesgos reales y las decisiones difíciles que implican protegerse de ciberataques.

El cambio cultural que impulsará la Directiva NIS2 no se limitará a cumplir con exigentes plazos de notificación en caso de incidentes o a reforzar las medidas de detección y respuesta a los ciberataques. Será una transformación mucho más amplia, que exigirá a las empresas algo que, hasta ahora, han evitado: repensar cómo evalúan y gestionan los riesgos de ciberseguridad en toda su operación de negocio, incluyendo a socios y proveedores.

En conclusión, debemos ejercer una mayor cautela en lo que respecta a nuestra ciberseguridad. Con las precauciones adecuadas y una actitud informada, podemos disfrutar de las compras festivas sin comprometer nuestra seguridad digital. Los comercios en línea, por su parte, deben adoptar un enfoque proactivo para proteger al consumidor, mejorando así su seguridad y reforzando su reputación en el mercado. Asimismo, la transparencia y la comunicación con los usuarios ante incidentes son cruciales para mantener su confianza. Un compromiso con la ciberseguridad es un valor agregado que el consumidor aprecia y busca, especialmente en una era donde la seguridad digital es de suma importancia.

Publicado en El Periódico.